终端管理是办公安全中最大的一环，市场上有很多解决方案中，安全公司集中了大量的优势兵力在这个方面，推出了不少商业产品，对于绝大多数企业而言，在这个方面不会跟生产网络一样涉及“自研”这个话题，基本上都是围绕商业产品展开，当然也有极少数例外。
1．补丁管理
补丁管理可能是当下被认为没太多技术含量，但很基础的一环，大多数办公桌面都是以微软的Windows操作系统为主，所以补丁管理多数依靠几个方面：

❑ 微软自身解决方案中的SCCM（WSUS/SMS替代品，支持Linux和OSX），如图12-2所示。

图12-2 SCCM架构

❑ 利用第三方终端管理软件中附带的补丁推送功能。
2．组策略（GPO）
  组策略的作用主要在于实施一些“基本的”安全策略。例如允许客户端运行软件的黑白名单、系统配置选项，USB权限管理等。在禁用软件时也有一些技巧，比如禁用QQ，可以禁用它运行所需要的DLL，这样有些黑客的小伎俩就不管用了。
3．终端HIPS（AV）
  目前360自产PC端安全卫士、360杀毒，腾讯自产PC管家，百度自产百度杀毒产品，除此之外，其他厂商基本在这个问题上都不具备太多选择能力。卡巴、诺顿、趋势这些都是现成的产品，基本也不定制，再深究其技术也意义不大，因为只是跟提供该产品的乙方安全厂商有关，跟甲方实则无太大关系。甲方唯一要做的就是选型，然后买。
4．网络准入NAC
  目前主流的网络准入主要有两种方式：802.1x，基于终端管理软件的C/S模式认证。在实施NAC方案之前，需要在安全域划分时划出guest vlan，没有通过认证的客户端一律丢到guest vlan去。

网络准入认证示意图如图12-4所示。

图12-4 网络准入认证示意图

  这种方案是最常见的网络准入，前提是所有的交换机都支持802.1X。但并非所有的客户端设备都支持802.1x，例如打印机，所以802.1x有一个扩展叫MAB（Mac Address Bypass），如果客户端无法提供user/password的认证方式则以设备自身的MAC地址作为认证，这对于有心的攻击者而言就是很好的绕过点，即使那些机器都锁屏，获取那些已通过认证的设备的MAC地址也并非难事。